“AV终结者”是一款病毒，中毒者表现为在每个磁盘根目录下添加“pagefile.pif autorun.pif pagefile.exe”CPU占用率100%，机器性能下大副度下降，运行程序反应奇慢。打开WINDOWS任务管理器发现进程数在疯狂增加.只有把硬盘往上一插，就能迅速感染到全盘。安全模式不能进入,在DOS下都不能将文件删除，因为我没有U盘，所以就没用WINPE，没有别的办法，可能也只有全盘格式化了。不过这样一来就要丢失很多重要的数据。
   更为可怕的是，中毒者甚至都不能上网搜索有关“病毒，防御，AV终结者”的相关信息，一搜就死机，我也是在别的机器上才搜到的，据称这个病毒是近十年来最历害的病毒，号称“毒王之王”。是经过精心策划而成，主要是通过U盘传播。全球已有近十万的人感染此病毒，导致大量重要数据被毁。网络信息也为之中断。

我这里什么都是过时的，电脑不是双核的，内存不是2g的，显卡不是独立的。硬盘不是320的。值得高兴的是病毒是最新的。

我朋友就中了这个 基本上所有的杀毒软件跟专杀工具都运行不了 而且每次联网就会自动更新 基本上算是无敌了 不过他是中了以后还不断上网才会这样的 这个病毒会自动更新 一联网就会不断更新直到可以抵御所有的杀毒软件 就算不断重装再重装也无补于事 如果使用修改注册表的方法 就会出现蓝屏 真的很难搞 后来他都放弃了 直接当硬盘坏了 买个个硬盘就解决了

如果刚刚中毒的时候 应该立即就去下载专杀工具 而且下载完后 关掉联网再杀 杀到他全部消失为止 ！ 还有一点~对付这个病毒全盘格式化都没意义。。如果到了不可收拾的地步就拿去去低格一下试试~

[ 本帖最后由 BTD 于 2009-1-10 20:52 编辑 ]

ak188

看你们一说，中了这个毒没马上处理的话，下场是很凄惨的。卡巴天天更新应当说是可以防的住的，要不，哪一天咱也中标的话，那也只能是换盘了。

有这么厉害的病毒？联想电脑一健还原能防的住不？

风火狐狸

看完发现基本上中这个病毒，只能通过光盘引导做全盘格式化了

phenix_chu

专杀工具能够搞定的，实在不行就只能革掉。

guohian

病毒发作症状

　　1.生成很多8位数字或字母随机命名的病毒程序文件，并在电脑开机时自动运行。

　　2.绑架安全软件，中毒后会发现几乎所有杀毒软件，系统管理工具，反间谍软件不能正常启动。

　　3.不能正常显示隐藏文件，其目的是更好地隐藏自身不被发现。




　　4.禁用windows自动更新和Windows防火墙，这样木马下载器工作时，就不会有任何提示窗口弹出来。

　　5.破坏系统安全模式，使得用户不能启动系统到安全模式来维护和修复。

　　6.当前活动窗口中有杀毒、安全、社区相关的关键字时，病毒会关闭这些窗口。假如你想通过浏览器搜索有关病毒的关键字，浏览器窗口会自动关闭。

　　7.在本地硬盘、U盘或移动硬盘生成autorun.inf和相应的病毒程序文件，通过自动播放功能进行传播。很多用户格式化系统分区后重装，访问其他磁盘，立即再次中毒。

　　8.最终目的是下载更多木马、后门程序。用户最后受损失的情况正是取决于此。







　　■防范措施

　　对于病毒而言，良好的防范措施，好过中毒之后再绞尽脑汁去寻找查杀方法，而且一旦感染该病毒，清除过程相当复杂，因此，在采访中，金山、江民、瑞星等几家公司的反病毒专家们向记者提供了针对该病毒防范措施：

　　1.保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件，如KV2007 独有的U盘盾技术，可以免疫所有U盘病毒通过双击U盘时运行。

　　2. 给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

　　3. 即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

　　4.安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。

　　5.关闭windows的自动播放功能。

　　■传播方式

　　1.通过U盘、移动硬盘的自动播放功能传播。

　　2.AV终结者最初的来源是通过大量劫持网络会话，利用网站漏洞下载传播。和前一段时间ARP攻击的病毒泛滥有关。

　　
　　清除办法

　　1.到网上下载IceSword工具，并将该工具改名，如改成abc.exe 名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

　　2.利用IceSword的文件管理功能，展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat 和dll 。再到%windir%\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

　　3. 然后到各个硬盘根目录下面删除Autorun.inf 文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

　　4.利用IceSword的注册表管理功能，展开注册表项到：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]，删除里面的IFEO劫持项。

　　当完成以上操作之后，就可以安装或打开杀毒软件了，然后升级杀毒软件到最新的病毒库，对电脑进行全盘杀毒。

下面我引一段网摘出来，大家看下：

戴光剑：“AV终结者”可能是人为纵毒

2007-6-19 15:06:39       
    人民网·天津视窗6月19日电：自上周国内各反病毒企业纷纷对电脑病毒“AV终结者”发出安全预警之后，昨日《每日经济新闻》获悉，这个被称为“安全杀手”的电脑病毒“AV终结者”目前的变种数量已超过500余个，波及用户达数十万。金山毒霸全球反病毒工程师戴光剑甚至认为，“AV终结者”的种种表现以及传播和作案手段显示出其背后集团化、企业化运作的痕迹，有人为纵毒的可能。  

    据了解，“AV终结者”侵入电脑后，将封锁电脑所有安全防护途径，并放进各种木马程序，而用户对此毫无知觉。此病毒可通过U盘等移动存储设备进行传播，以及通过攻击企业的服务器让挂马现象在整个企业网络中迅速蔓延。戴光剑认为，该病毒的整个传播和作案过程是经过精心策划的。

    反病毒专家指出，在U盘这类传播渠道，病毒的幕后集团操纵或买通了部分人将写好的病毒程序拷贝到U盘或移动硬盘上，然后到网吧等公共上网场所将这些移动存储设备插入电脑，导致电脑使用者在不知情中再通过移动存储设备将该病毒的传播范围进一步扩大；而在攻击企业服务器的渠道中，病毒的幕后集团进行了分工，有专人负责攻击企业服务器，另一拨人直接在服务器上配置利用ANI漏洞传播的病毒挂马，第三拨人则将这种挂马行为扩大到该服务器托管机房中的其他服务器上。

    戴光剑指出，“AV终结者”病毒的目的很明确，就是将用户的系统彻底变成“聋哑人”，继而给木马病毒打开大门，实施作案行为。戴光剑认为，其背后没有一个计划周密的公司或集团显然是无法做到的。

    资料显示，“AV终结者”先将用户的windows防火墙、自动更新、杀毒软件等全部干掉，并使含有“金山毒霸”、“卡巴斯基”、“瑞星”、“江民”等字符串的软件和进程，以及与此有关的网站无法打开。此后，“AV终结者”病毒将从http://head.bodyhtml.biz/update/update.txt等地址下载数百种盗号木马、广告木马、风险程序等，由此盗窃QQ号码、盗取网游帐号和装备的、盗取网银帐号等，形成一条完整的木马黑色产业链条。据国家计算机网络应急处理中心统计，包括这些木马在内的整个木马黑色产业链条的年产值已超2.38亿元人民币，造成的损失则超过76亿元。

近日，国内各反病毒中心监测到，一种采用“映像劫持”技术的病毒正在互联网上大肆流窜，其特征为：病毒运行后，会产生一个由数字和字母随机组成的8位名称的病毒进程，并且尝试关闭多款杀毒软件、防火墙和安全工具进程，使杀毒操作极其困难。目前，金山反病毒中心将该病毒统称为“AV终结者”，瑞星反病毒中心将该病毒称为“帕虫”，江民反病毒中心将该病毒称为“U盘寄生虫”（本文都将其称为“AV终结者”）。截止到昨天，其变种数已达500多个，波及人群超过10万人。

“AV终结者”互联网上大肆流窜
★病毒发作时

四步可使电脑彻底崩溃

据了解，6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
       
金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

1.禁用所有杀毒软件及相关安全工具，让电脑失去安全保障；

2.破坏安全模式，致使用户根本无法进入安全模式清除病毒；

3.强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登录，用户无法通过网络寻求解决办法；

4.格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

此外，经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到拥有病毒的网站，并自动下载数百种木马病毒，各类盗号木马、广告木马、风险程序用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。因此提醒电脑用户目前使用电脑需慎之又慎。

★感染病毒之后

常用杀毒软件无法查杀

同时，记者从瑞星反病毒中心了解到，瑞星反病毒中心目前暂将该病毒称为“帕虫”病毒。据瑞星反病毒中心表示：“该病毒采用了多种技术手段来保护自身不被清除，例如，它会终结几十种常用的杀毒软件，如果用户使用google、百度等搜索引擎搜索‘病毒’，浏览器也会被病毒强制关闭，使得用户无法取得相关信息。尤为恶劣的是，该病毒还采用了IFEO劫持（windows文件映像劫持）技术，修改注册表，使QQ医生、360安全卫士等几十种常用软件无法正常运行，从而使得用户很难手工清除该病毒。”

此外，据瑞星反病毒专家介绍：“该病毒通过映像劫持技术，将大量杀毒软件‘绑架’，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文件，实现病毒的“先劫持后掉包”的计划。该病毒不但可以劫持大量杀毒软件以及安全工具，而且还可禁止Windows的自更新和系统自带的防火墙，大大降低了用户系统的安全性，这也是近几年来对用户的系统安全破坏程度最大的一个病毒之一。而且该病毒还会在每个磁盘分区上建立自动运行文件（包括U盘），从而使得通过U盘传播的概率大大增加。同时，由于每个分区上都有病毒留下的文件，普通用户即使格式化C盘重装系统，也无法彻底清除该病毒。”

此款病毒为评为十大病毒之首

这个应该是比较老的病毒了吧？貌似现在的杀毒软件都可以查杀和防御！